DSGVO-Gutachten revolutioniert Schadensersatz und Auskunftsrechte für Betroffene
Felix Schneider
DSGVO-Gutachten revolutioniert Schadensersatz und Auskunftsrechte für Betroffene
Am 12. September 2025 legte Generalanwalt Maciej Szpunar ein richtungsweisendes Rechtsgutachten zu den Rechten betroffener Personen nach der Datenschutz-Grundverordnung (DSGVO) vor. Der Fall C-526/24 (Brillen Rottler) untersuchte, unter welchen Umständen Unternehmen einen Antrag auf Datenauskunft (Data Subject Access Request, DSAR) als missbräuchlich zurückweisen dürfen. Seine Ausführungen präzisieren die Voraussetzungen für Schadensersatzansprüche und setzen hohe Hürden für den Nachweis eines Missbrauchs der Auskunftsrechte.
Im Mittelpunkt des Gutachtens stand Artikel 82 der DSGVO, der es Einzelpersonen ermöglicht, Schadensersatz für durch Verstöße entstandene Schäden geltend zu machen. Szpunar bestätigte, dass ein Anspruch auf Entschädigung bereits bei jedem Verstoß gegen die DSGVO entsteht – nicht erst bei unrechtmäßiger Datenverarbeitung. Für eine erfolgreiche Klage müssen drei Elemente nachgewiesen werden: ein Verstoß gegen die DSGVO, ein tatsächlicher Schaden und ein direkter Zusammenhang zwischen beiden.
Der Generalanwalt ging zudem der Frage nach, wann ein DSAR als missbräuchlich eingestuft werden kann. Er betonte, dass die Beweishürden für einen solchen Missbrauch sehr hoch sind. Unternehmen, die einen Antrag ablehnen, müssen klare, dokumentierte Belege für eine missbräuchliche Absicht vorlegen. Ohne solche Nachweise riskieren sie eine Verletzung des grundlegenden Auskunftsrechts.
Cashback bei deinen
Lieblingsrestaurants und Services
Kaufe Gutscheine und spare in deinen Lieblingsorten in deiner Nähe
Nach Artikel 12 Absatz 3 der DSGVO müssen Verantwortliche jede Ablehnung damit begründen, dass der Zweck des Antrags mit den Zielen der Verordnung unvereinbar ist. Das Gutachten wies darauf hin, dass selbst ein erster DSAR in seltenen Fällen missbräuchlich sein kann – allerdings nur, wenn der Verantwortliche objektiv einen Missbrauch nachweisen kann. Bisher gibt es weder eine einschlägige Entscheidung des EuGH noch Leitlinien der Europäischen Kommission zur Abgrenzung zwischen berechtigten und missbräuchlichen Anträgen.
Szpunar stellte zudem klar, dass die Geltendmachung von Schadensersatz nach Artikel 82 nicht per se als missbräuchlich angesehen werden darf. Dies stärkt das Recht, bei DSGVO-Verstößen Entschädigung zu verlangen – unabhängig davon, ob die Verletzung auf einer unrechtmäßigen Datenverarbeitung beruhte.
Das Gutachten setzt für Unternehmen, die DSARs ablehnen, hohe Maßstäbe an und verlangt eine fundierte Begründung sowie umfassende Dokumentation. Gleichzeitig bestätigt es, dass Betroffene für jeden DSGVO-Verstoß, der ihnen einen Schaden zufügt, Entschädigung verlangen können. Unternehmen müssen nun ihre Prozesse überprüfen, um sicherzustellen, dass sie diesen strengeren Anforderungen gerecht werden.
